CMMC und Risikomanagement für Drittparteien
Im November 2021 veröffentlichte das Office of the Under Secretary of Defense for Acquisition and Sustainment im US-Verteidigungsministerium (DoD) die Version 2.0 der Cybersecurity Maturity Model Certification (CMMC), ein umfassendes Rahmenwerk zum Schutz der Verteidigungsindustrie vor immer häufigeren und komplexeren Cyberangriffen und zur Gewährleistung einer sicheren und widerstandsfähigen Lieferkette im gesamten Verteidigungsbereich.
Das CMMC verlangt von den Unternehmen eine Zertifizierung in Bezug auf bewährte Praktiken im Bereich der Cybersicherheit und des Umgangs mit kontrollierten, nicht klassifizierten Informationen (CUI), wobei diese Zertifizierung letztendlich darüber entscheidet, ob ein Unternehmen einen Auftrag vom Verteidigungsministerium erhalten kann.
Alle DoD-Lieferanten müssen in einer von drei Stufen zertifiziert sein, von Stufe 1 (Grundlagen) bis Stufe 3 (Experten), basierend auf den Sicherheitsanforderungen für kontrollierte nicht klassifizierte Informationen (CUI) aus FAR-Klausel 204-21, der Sonderveröffentlichung (SP) 800-171 des National Institute of Standards and Technology (NIST) und zusätzlichen Kontrollen aus NIST SP 800-172 Enhanced Security Requirements for Protecting Controlled Unclassified Information: Eine Ergänzung zur NIST-Sonderveröffentlichung 800-171.
Unternehmen und zertifizierte Third-Party-Audit-Organisationen (C3PAOs) können die Prevalent Third-Party Risk Management Plattform mit integrierten Fragebögen nutzen, um alle drei Stufen der CMMC-Zertifizierung zu bewerten.
CMMC-Zertifizierungsebenen Übersicht
- Stufe 1 - Selbstbeurteilung des Lieferanten anhand von 17 Kontrollen. Diese Zertifizierungsstufe gilt als grundlegend und für Lieferanten, die Informationen verwalten, die nicht kritisch für die nationale Sicherheit sind.
- Stufe 3 - Diese Stufe, die als Expertenstufe für die DoD-Lieferanten mit der höchsten Priorität gilt, baut auf Stufe 2 auf und fügt eine Untergruppe der NIST SP 800-172-Kontrollen hinzu. Die Bundesregierung führt die Audits für Unternehmen dieser Stufe durch.
- Stufe 2 - Eine fortgeschrittenere Zertifizierungsstufe, die von externen Prüfern anhand von 110 Kontrollen des Standards NIST SP 800-171 durchgeführt wird. Diese Stufe wird für Unternehmen in Betracht gezogen, die über kontrollierte nicht klassifizierte Informationen (CUI) verfügen.
Weit verbreitet für CMMC-Auditoren
CMMC-zertifizierte Auditoren können die Prevalent Third-Party Risk Management Platform nutzen, die alle drei Stufen der CMMC-Kontrollfragebögen enthält.
Prävalent für CMMC-Responder
Lieferanten und DoD-Auftragnehmer können die Prevalent Third-Party Risk Management Platform nutzen, um eine Selbstbewertung der Stufen 1 und 2 durchzuführen.
Erfüllung der CMMC TPRM-Anforderungen
In der nachstehenden Tabelle finden Sie eine Zusammenfassung der CMMC-Anforderungen nach Stufe, geordnet nach den relevanten Sicherheitskontrollen gemäß NIST SP 800-171r2, die als integrierte Fragebögen in der Prevalent-Plattform enthalten sind. Informationen zu Level 3 werden vom US DoD zu einem späteren Zeitpunkt veröffentlicht und enthalten eine Teilmenge der in NIST SP 800-172 spezifizierten Sicherheitsanforderungen.
Zugangskontrolle
Stufe 1
3.1.1 Autorisierte Zugangskontrolle
3.1.2 Transaktions- und Funktionskontrolle
3.1.20 Externe Verbindungen
3.1.22 Kontrolle öffentlicher Informationen
Stufe 2
3.1.3 Kontrolle des CUI-Flusses
3.1.4 Trennung der Zuständigkeiten
3.1.5 Geringstmögliches Privileg
3.1.6 Nutzung nicht privilegierter Konten
3.1.7 Privilegierte Funktionen
3.1.8 Erfolglose Anmeldeversuche
3.1.9 Datenschutz- und Sicherheitshinweise
3.1.10 Sitzungssperre
3.1.11 Sitzungsbeendigung
3.1.12 Fernzugriff steuern
3.1.13 Fernzugriffs-Konfigurierbarkeit
3.1.14 Fernzugriffs-Routing
3.1.15 Privilegierter Fernzugriff
3.1.16 Autorisierung des drahtlosen Zugriffs
3.1.17 Schutz des drahtlosen Zugriffs
3.1.18 Verbindung zu mobilen Geräten
3.1.19 Verschlüsselung von CUI auf mobilen Geräten
3.1.21 Verwendung tragbarer Speicher
Sensibilisierung und Schulung
Stufe 1
K.A.
Stufe 2
3.2.1 Rollenbasiertes Risikobewusstsein
3.2.2 Rollenbasiertes Training
3.2.3 Sensibilisierung für Insider-Bedrohungen
Prüfung und Rechenschaftspflicht
Stufe 1
K.A.
Stufe 2
3.3.1 Systemüberprüfung
3.3.2 Benutzer-Rechenschaftspflicht
3.3.3 Ereignisüberprüfung
3.3.4 Alarmierung bei Audit-Fehlern
3.3.5 Audit-Korrelation
3.3.6 Reduktion und Berichterstattung
3.3.7 Autoritative Zeitquelle
3.3.8 Audit-Schutz
3.3.9 Audit-Verwaltung
Konfigurationsmanagement
Stufe 1
K.A.
Stufe 2
3.4.1 Systemgrundlagen
3.4.2 Durchsetzung der Sicherheitskonfiguration
3.4.3 Verwaltung von Systemänderungen
3.4.4 Analyse der Sicherheitsauswirkungen
3.4.5 Zugriffsbeschränkungen bei Änderungen
3.4.6 Mindestfunktionalität
3.4.7 Unwesentliche Funktionalität
3.4.8 Richtlinie für die Ausführung von Anwendungen
3.4.9 Vom Benutzer installierte Software
Identifizierung und Authentifizierung
Stufe 1
3.5.1 Identifizierung
3.5.2 Authentifizierung
Stufe 2
3.5.3 Multi-Faktor-Authentifizierung
3.5.4 Wiederherstellungssichere Authentifizierung
3.5.5 Wiederverwendung von Identifikatoren
3.5.6 Handhabung von Identifikatoren
3.5.7 Passwort-Komplexität
3.5.8 Wiederverwendung von Passwörtern
3.5.9 Temporäre Passwörter
3.5.10 Kryptographisch geschützte Passwörter
3.5.11 Obskure Rückmeldungen
Reaktion auf Vorfälle
Stufe 1
K.A.
Stufe 2
3.6.1 Behandlung von Zwischenfällen
3.6.2 Berichterstattung über Vorfälle
3.6.3 Testen der Reaktion auf Vorfälle
Wartung
Stufe 1
K.A.
Stufe 2
3.7.1 Wartung durchführen
3.7.2 Kontrolle der Systemwartung
3.7.3 Desinfektion der Ausrüstung
3.7.4 Medieninspektion
3.7.5 Nicht-lokale Wartung
3.7.6 Wartungspersonal
Medienschutz
Stufe 1
3.8.3 Medienentsorgung
Stufe 2
3.8.1 Medienschutz
3.8.2 Medienzugriff
3.8.4 Medienkennzeichnung
3.8.5 Rechenschaftspflicht für Medien
3.8.6 Verschlüsselung tragbarer Speicher
3.8.7 Austauschbare Medien
3.8.8 Gemeinsam genutzte Medien
3.8.9 Schutz von Backups
Personelle Sicherheit
Stufe 1
K.A.
Stufe 2
3.9.1 Überprüfung von Personen
3.9.2 Personalmaßnahmen
Physischer Schutz
Stufe 1
3.10.1 Beschränkung des physischen Zugangs
3.10.3 Besucher begleiten
3.10.4 Protokolle über den physischen Zugang
3.10.5 Verwalten des physischen Zugangs
Stufe 2
3.10.2 Überwachungseinrichtung
3.10.6 Alternative Arbeitsorte
Risikobewertung
Stufe 1
K.A.
Stufe 2
3.11.1 Risikobewertungen
3.11.2 Schwachstellen-Scan
3.11.3 Behebung von Schwachstellen
Bewertung der Sicherheit
Stufe 1
K.A.
Stufe 2
3.12.1 Bewertung der Sicherheitskontrollen
3.12.2 Aktionsplan
3.12.3 Überwachung der Sicherheitskontrollen
3.12.4 Plan zur Gefahrenabwehr im System
System- und Kommunikationsschutz
Stufe 1
3.13.1 Begrenzungsschutz
3.13.5 Trennung des öffentlich zugänglichen Systems
Stufe 2
3.13.2 Sicherheitstechnik
3.13.3 Role Separation
3.13.4 Gemeinsame Ressourcenkontrolle
3.13.6 Netzwerkkommunikation ausnahmsweise
3.13.7 Aufgeteiltes Tunneling
3.13.8 Daten im Transit
3.13.9 Beendigung von Verbindungen
3.13.10 Schlüsselverwaltung
3.13.11 CUI-Verschlüsselung
3.13.12 Kollaborative Gerätekontrolle
3.13.13 Mobiler Code
3.13.14 Sprache über das Internetprotokoll
3.13.15 Authentizität der Kommunikation
3.13.16 Daten im Ruhezustand
System- und Informationsintegrität
Stufe 1
3.14.1 Behebung von Fehlern
3.14.2 Schutz vor bösartigem Code
3.14.4 Update-Schutz vor bösartigem Code
3.14.5 System- und Dateiüberprüfung
Stufe 2
3.14.3 Sicherheitswarnungen und -hinweise
3.14.6 Kommunikation auf Angriffe überwachen
3.14.7 Unbefugte Nutzung erkennen
Prevalent und die CMMC
Die Prevalent Third-Party Risk Management Plattform bietet integrierte Fragebögen für jede Stufe der CMMC-Zertifizierung. Dies ermöglicht es dem DoD, Lieferanten mit hoher Priorität zu bewerten, Auditoren, ihre Kunden zu bewerten, und Lieferanten, sich selbst und ihre Lieferanten hinsichtlich der Einhaltung der einzelnen Stufen zu bewerten.
C3PAOs und die föderale Regierung können:
- Laden Sie Kunden auf die Prevalent-Plattform ein, um ihre standardisierte Level-2- oder Level-3-Kontrollbewertung in einem benutzerfreundlichen, sicheren Mandanten durchzuführen.
- Automatisierte Erinnerungen an Kunden, um den Zeitaufwand für die Durchführung von Bewertungen zu verringern
- Zentralisierung der Belege, die als Nachweis für das Vorhandensein von Kontrollen vorgelegt werden
- ein einzelnes Register der Risiken anzeigen, die je nach Antwort des Kunden auf die Fragen aufgeworfen werden
- Empfehlungen zur Abhilfe bei fehlgeschlagenen Kontrollen abgeben
- Bereitstellung von maßgeschneiderten Berichten über den aktuellen Stand der Einhaltung von Vorschriften, die die risikomindernde Wirkung der Anwendung künftiger Kontrollen aufzeigen
Jeder DoD-Lieferant kann eine Selbstbewertung der Stufe 1 oder 2 durchführen, um:
-
- Bewertung anhand der 17 Kontrollen, die zur Messung der Einhaltung von Stufe 1 erforderlich sind
- Bewertung anhand der 110 Kontrollen, die zur Messung der Einhaltung von Level 2 erforderlich sind
- Hochladen von Unterlagen und Belegen zur Unterstützung der Antworten auf Fragen
- Transparenz über den aktuellen Stand der Einhaltung von Vorschriften
- Nutzen Sie die integrierten Anleitungen zur Behebung von Mängeln bei Dritten
- Erstellung von Berichten zur Messung der Konformität für Rechnungsprüfer
